Гражданский кодекс часть 1

Закрытое акционерное общество «Интегральная коммуникационная сеть +» (далее – общество) обратилось в арбитражный суд с заявлениями о признании недействительными предписаний от 28.02.2011 года № П-53-02/0367, № П-53-02/0368, № П-53-02/0369, №П-53-02/0370, №П-53-02/0373, №П-53-02/0374, вынесенных Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Новгородской области (далее – управление).

В судебном заседании общество отказалось от требований в части признания недействительными предписаний от 28.02.2011 года № П-53-02/0369, № П-53-02/0370, № П-53-02/0374 в связи с их добровольным исполнением.

На требованиях о признании недействительными предписаний от 28.02.2011 года № П-53-02/0367, № П-53-02/0368, № П-53-02/0373 заявитель настаивает, ссылаясь на то, что указанные предписания противоречат ст. 21, 22 Федерального закона от 27.06.2006 года № 152-ФЗ «О персональных данных» (далее Федеральный закон № 152-ФЗ), ст. 17 Федерального закона от 26.12.2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее Федеральный закон № 294-ФЗ).

Вынесенные предписания являются некорректными, не содержат подробного описания выявленных нарушений и мер, которые общество должно принять для их устранения. В акте проверки от 29.04.2011 года также не отражены конкретные нарушения. В связи с этим, даже в совокупности эти документы не дают возможность обществу определить, в чем состоит требование государственного органа и что необходимо сделать обществу для выполнения предписания.

Предписание № П-53-02/0367 (далее предписание № 0367) противоречит ч.2 ст. 22 Федерального закона № 152-ФЗ, поскольку у общества отсутствовала обязанность уведомлять уполномоченный орган о намерении осуществлять обработку персональных данных, ввиду того, что им обрабатываются только данные лиц, указанных в п.п. 1 и 2 ч.2 ст. 22 Федерального закона № 152-ФЗ. Отсюда следует, что у общества также отсутствует обязанность вносить изменения и дополнять ранее представленное уведомление.

Предписание № П-53-02/0368 (далее – предписание № 0368) также противоречит ч. 2 ст. 22 Федерального закона № 152-ФЗ, в которой установлены категории операторов, которые не обязаны уведомлять о своем намерении подавать уведомления, кроме того сведения о проведении классификации информационных систем персональных данных не относятся к мерам по обеспечению безопасности персональных данных.

Предписание № П-53-02/0373 (далее предписание № 0373) противоречит ст. 3, ч. 4 ст. 21 Федерального закона № 152-ФЗ. Ни в предписании, ни в акте проверки не указано какие документы, находящиеся в архиве и подлежащие уничтожению, не были своевременно уничтожены обществом. Перечисленные в приложении договоры относятся к 2010 году, поэтому срок их уничтожения еще не наступил.

Кроме того, управлением не учтено, что предприятие самостоятельно определяет цели и содержание обработки персональных данных. В соответствии с этими целями осуществляется более длительное хранение некоторых документов (договоров). Они могут быть использованы для маркетинговых исследований, для взыскания задолженностей и т.д.

Управление заявленные требования не признало, считая вынесенные предписания законными и обоснованными.

Проверка общества проведена в соответствии с Федеральным законом № 294-ФЗ, на основании приказа руководителя, с приказом общество было заранее ознакомлено. Выданные предписания соответствуют ст. ст. 10, 11, 15, 16, 25 Федерального закона № 294-ФЗ, п.п. 5.2, 64.1.3, 67.1, 71.6 Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденного приказом Роскомнадзора от 01.12.2009 года № 630 (зарегистрирован в Минюсте РФ 28.01.2010 года № 16095, далее – Административный регламент).

В предписаниях указаны все сведения, перечисленные в п. 83 Административного регламента.

Довод общества о том, что предписания № 0367 и № 0368 противоречат ч. 2 ст. 22 Федерального закона № 152-ФЗ необоснован, так как проверялось содержание того уведомления, которое общество добровольно представило в уполномоченный орган. Установлено, что положения ч. 2 ст. 22 на деятельность общества не распространяется, так как оно осуществляет обработку и иных персональных данных, кроме указанных в части 2 ст. 22.

Сведения о проведении классификации информационных систем персональных данных должны быть представлены в уполномоченный орган в десятидневный срок в силу требований частей 3 и 7 ст. 22 Федерального закона № 152-ФЗ, и п. 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 года №781 (предписание № 0368).

Срок хранения персональных данных (3 года) установлен самим оператором, в том согласии на обработку персональных данных, которое берется у абонентов. Обязанность уничтожения персональных данных в установленный срок предусмотрена ч. 4 ст. 21 Федерального закона № 152-ФЗ. Договоры с истекшими сроками хранения выявлены в результате выборочной проверки и приложены к акту проверки. Обязанности проверять весь архив общества у управления не имеется. В целях выполнения предписания № 0373 это обязано сделать само общество.

Законность и обоснованность оспариваемых предписаний подтверждается также вступившими в законную силу постановлениями мирового судьи о назначении обществу административных наказаний за невыполнение этих предписаний.

Рассмотрение дела прерывалось в соответствии со ст. 163 АПК РФ.

Исследовав материалы дела, заслушав пояснения лиц, участвующих в деле суд полагает, что заявленные требования полежат удовлетворению.

Отказ заявителя от требований в части признания недействительными предписаний от 28.02.2011 года № П-53-02/0369, № П-53-02/0370, №П-53-02/0374 является правомерным, не нарушает права и законные интересы других лиц и принимается судом. Производство по делу в этой части прекращается на основании п. 4 ч. 1 ст. 150 АПК РФ.

При рассмотрении дела установлено, что в соответствии с приказом руководителя от 26.01.2011 года № 016 управлением в период с 01.02.2011 года по 28.02.2011 года проведена плановая проверка ЗАО «ИТС+». Законный представитель общества с приказом ознакомлен.

Цель проверки – соблюдение обязательных требований законодательства Российской Федерации в области связи, в том числе, проверено выполнение требований Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

В акте зафиксированы нарушения ч. 4 ст. 21 и ч. 3 и 7 ст. 22 Федерального закона № 152-ФЗ.

В связи с выявлением этих нарушений управлением вынесены оспариваемые предписания.

Не согласившись с этими предписаниями, общество обжаловало их в арбитражный суд.

Согласно ч. 4 ст. 200 АПК РФ при рассмотрении дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) органов, осуществляющих публичные полномочия, должностных лиц арбитражный суд в судебном заседании осуществляет проверку оспариваемого акта или его отдельных положений, оспариваемых решений и действий (бездействия) и устанавливает их соответствие закону или иному нормативному правовому акту, устанавливает наличие полномочий у органа или лица, которые приняли оспариваемый акт, решение или совершили оспариваемые действия (бездействие), а также устанавливает, нарушают ли оспариваемый акт, решение и действия (бездействие) права и законные интересы заявителя в сфере предпринимательской и иной экономической деятельности.

В соответствии с ч. 1 ст. 23 Федерального закона № 152-ФЗ и Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 года № 228, управление, как территориальное подразделение Федеральной службы, является уполномоченным органом по контролю за соответствием обработки персональных данных оператором связи указанному Федеральному закону.

Нарушение требований Федерального закона № 294-ФЗ и административного регламента при проведении проверки управлением не допущено.

Предписания вынесены управлением в соответствии со ст. 17 Федерального закона № 294-ФЗ и по форме соответствуют п. 83 Административного регламента.

Неполное описание в предписаниях всех выявленных нарушений и не указание конкретных мер, которые общество должно принять для устранения нарушений, а также отдельные некорректные формулировки в акте проверки являются формальными нарушениями и не влекут признание предписаний недействительными, так как наличие указанных в них нарушений Федерального закона № 152-ФЗ обществом не опровергнуто.

Довод общества о неисполнимости предписаний не принимается судом во внимание, так как описание нарушений содержится в акте проверки, а меры, необходимые для устранения нарушений, указаны в самом Федеральном законе № 152-ФЗ.

Кроме того, судом принимаются во внимание доводы управления о том, что при проверке участвовали ответственные работники общества, которым давались подробные разъяснения и указания.

Заявитель также вправе обратиться в уполномоченный орган за соответствующими разъяснениями по выполнению предписаний.

Довод общества об отсутствии в его действиях нарушений частей 3 и 7 ст. 22 Федерального закона № 152-ФЗ (предписания № 0367 и 0368) необоснован.

Ссылка общества на ч. 2 ст. 22 Федерального закона № 152-ФЗ несостоятельна. В ч. 2 указаны случаи, когда оператор имеет право осуществлять обработку персональных данных без уведомления уполномоченного органа. К таким случаям относится в частности, обработка персональных данных субъектов, которых связывают с оператором трудовые отношения (п. 1 ч. 2), а также обработка персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Вместе с тем, общество добровольно подавало в уполномоченный орган уведомление о намерении осуществить обработку персональных данных. Последнее уведомление подано в 2010 году и управление при проверке обязано было проверить соответствие его содержания Федеральному закону № 152-ФЗ и полноту сведений.

Кроме того, при проверке установлено, что оператором ведется обработка персональных данных и других лиц, например, кандидатов на занятие вакантных должностей, лиц, подавших заявление на оказание услуг, с которыми не был по каким-либо причинам заключен договор. В связи с этим, вывод управления о том, что положения ч. 2 ст. 22 Федерального закона № 152-ФЗ не распространяются на данного оператора, правомерен.

Исходя из анализа п. 3 ст. 22 требования к содержанию уведомления распространяются на всех субъектов, чьи персональные данные обрабатываются оператором, включая работников и абонентов по договорам.

Наличие в уведомлении нарушений требований ч. 3 ст. 22 Федерального закона в виде неполных и недостоверных данных в отношении категорий субъектов, персональные данные которых обрабатываются, а также категорий персональных данных в отношении работников и абонентов, подтверждено актом проверки и обществом не оспаривается (предписание № 0367).

В соответствии с п. 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства РФ от 17.11.2007 года № 781, классификация информационных систем относится к мерам обеспечения безопасности персональных данных.

Частью 3 ст. 22 Федерального закона № 152-ФЗ предусмотрено, что в уведомлении должны содержаться такие сведения как описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных.

При проверке управлением установлено, что после подачи уведомления общество произвело классификацию информационных систем, однако не сообщило эти сведения уполномоченному органу в десятидневный срок, что является нарушением требований ч. 7 ст. 22 Федерального закона № 152-ФЗ (предписание № 0368).

Доводы общества о необоснованности предписания № 0373 о нарушении ч. 4 ст. 21 Федерального закона №152-ФЗ являются голословными.

Частью 4 ст.21 Федерального закона № 152-ФЗ предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

К акту проверки приложены хранящиеся в архиве общества договоры с абонентами от 2002, 2006 и 2008 года срок действия которых истек. По указанным в этих договорах адресам оказываются услуги иным лицам, что подтверждается договорами 2010 года.

Трехгодичный срок хранения персональных данных указан обществом в форме соглашения на обработку персональных данных, которое подписывается абонентами.

Таким образом, выявленные договоры с просроченным сроком хранения подлежат уничтожению.

Доказательств того, что эти договоры хранятся в соответствии с целями обработки персональных данных, заявленными обществом (маркетинговые исследования, взыскание дебиторской задолженности), суду не представлено.

Таким образом, предписание № 0373 об устранении нарушений п. 4 ст. 21 Федерального закона № 152-ФЗ является законным и обоснованным.

Законность и обоснованность оспариваемых предписаний подтверждается также вступившими в законную силу постановлениями мирового судьи от 31.03.2011 года и от 24.06.2011 года о привлечении общества к административной ответственности за их невыполнение.

В соответствии с ч. 3 ст. 69 АПК РФ вступившее в законную силу решение суда общей юрисдикции по ранее рассмотренному гражданскому делу обязательно для арбитражного суда, рассматривающего дело, по вопросам об обстоятельствах, установленных решением суда общей юрисдикции и имеющих отношение к лицам, участвующим в деле.

Руководствуясь статьями п.4 ч.1 ст. 150, ст.ст. 167-170, 176, 201 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

РЕШИЛ:

1.В удовлетворении требований закрытого акционерного общества «Интегральная Телекоммуникационная сеть+» о признании недействительными предписаний об устранении выявленных нарушений, вынесенных Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Новгородской области, от 28.02.2011 года №П-53-02/0367, №П-53-02/0368, №П-53-02/0373 отказать, в связи с не установлением нарушений ч.4 ст.21, ч.3 ст.22, ч.7ст.22 Федерального закона от 27.07.2006 года «О персональных данных», ст.17 Федерального закона от 26.12.2008 года «О защите юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»

2.Производство по делу в части признания недействительными предписаний от 28.02.2011 года №П-53-02/0369, №П-53-02/0370, №П-53-02/0374 прекратить в связи с отказом заявителя

3.Возвратить заявителю из бюджета Российской Федерации государственную пошлину в общей сумме 6000 рублей, уплаченную по платежным поручениям от 18.04.2011 года №353, от18.04.2011 года №350, от 18.04.2011 года №349.

4.Справку на возврат госпошлины выдать по вступлении решения суда в законную силу.

5.Настоящее решение может быть обжаловано в Четырнадцатый арбитражный апелляционный суд (г.Вологда) через Арбитражный суд Новгородской области в течение одного месяца со дня его принятия.

Судья

И.Г. Ларина